在Linux上使用PGP签名验证文件完整性

前言:文件在下载及存储过程中可能由于传输错误、硬件故障、文件系统错误等网络、硬件和软件方面的原因导致文件损坏,也可能在传输过程中受到攻击(如“中间人攻击”)导致下载的文件被篡改或者下载到了其它非原始文件。所以,在使用一个文件之前(如安装一个软件或操作系统)最好先对文件进行完整性(或者说“原始性”)的检验。常用的文件校验方法有SHA、MD5、CRC和PGP签名等。本文主要阐述一下在Linux上使用PGP证书校验文件完整性的操作步骤。

一、下载提供有PGP证书的文件

这里我们下载的是VeraCrypt(下载地址:https://veracrypt.codeplex.com/wikipage?title=Downloads#Title)。我们可以看到,每个文件后面都提供有对应的PGP Signature,下载时我们要把文件和文件对应的PGP Signature都下载下来放到一个文件夹里。

在Linux上使用PGP签名验证文件完整性
图 1

注:下面的操作步骤使用Ubuntu进行演示。需要注意的是,在Ubuntu中不能校验Windows下使用的文件对应的PGP数字签名。如图:

在Linux上使用PGP签名验证文件完整性
图 2

二、在文件和文件PGP签名所在的文件夹中打开终端

在Linux上使用PGP签名验证文件完整性
图 3

三、输入gpg -–verify PGP签名文件名

如我这里的PGP签名文件名是“veracrypt-1.21-setup.tar.bz2.sig”(签名文件一般以.sig或.asc结尾),所以我输入的命令就是:

gpg –verify veracrypt-1.21-setup.tar.bz2.sig

回车执行后如下图所示。这一步操作的目的主要是为了获取从公钥服务器上下载公钥的“钥匙号”,如图中的钥匙号为“54DDD393”。

在Linux上使用PGP签名验证文件完整性
图 4

但是,在上图中我们可以看到“完好的签名”这一提示,这表明PGP校验已经完成(“gpg -–verify PGP证书文件名”这一命令本身就可以在已经导入公钥的前提下直接校验文件完整性,但是在没有导入公钥时运行这一命令可以使用得到的钥匙号去公钥服务器上下载公钥)。这是因为我之前已经进行过一次检验,公钥已经导入到了本地,下面我们把本地公钥删除,重新进行一次校验。我们可以使用“gpg -k”命令查看当前系统中的公钥:

在Linux上使用PGP签名验证文件完整性
图 5

现在可以知道,公钥pubring.gpg在一个名为“gnupg”的隐藏文件夹里,我们进到这个文件夹里,用rm命令将它删除:

在Linux上使用PGP签名验证文件完整性
图 6

然后再执行“gpg -–verify PGP证书文件名”:

在Linux上使用PGP签名验证文件完整性
图 7

这次的运行后仍得到了钥匙号,但是没有出现“完好的签名”这样的提示,而是“无法检查签名”,这说明本地此时并没有可以用于检验签名的公钥。

注:在这里我们可以看到,我们要验证的是PGP签名,使用的却是“gpg”命令,关于PGP和GPG的更多内容可以查看我的另一篇博文http://blog.csdn.net/wy_bk/article/details/75330196

四、输入gpg –keyserver hkp://pgp.mit.edu –recv-keys 钥匙号

在Linux上使用PGP签名验证文件完整性
图 8

五、输入gpg -–verify PGP证书文件名

在Linux上使用PGP签名验证文件完整性
图 9

至此,我们看到了“完好的签名”这样的提示,这说明文件本身基本可以保证是完整的。

注:上一步出现了警告“没有找到任何绝对信任的秘钥”,这一步操作也有类似的警告“没有证据表明这个签名属于他所声称的持有者”。也就是说,秘钥本身也是可以被伪造的,PGP签名只是检测文件是否完整的一个参考。PGP签名的原理就是使用非对称秘钥加密技术和数字摘要技术产生一段只有文件的原始发布者才能产生的数字串。我们对文件进行PGP签名校验,就是要使用公钥解密文件的原始发布者使用私钥加密的签名,核对上述中的“数字串”是否和原来一致。为了方便获取公钥,人们一般把公钥上传到公钥服务器中。有时候人们为了防止PGP签名本身被伪造,还提供了SHA256用于对PGP签名文件本身的完整性进行检测。

附:PGP公钥服务器列表:

  • http://keyserver.ubuntu.com/
  • keys.gnupg.net
  • HKP://subkeys.pgp.net
  • HKP://pgp.mit.edu
  • HKP://pool.sks-keyservers.net
  • HKP://zimmermann.mayfirst.org这个网站不断统计着几乎所有公钥服务器上的公钥数目https://sks-keyservers.net/status/,如图:
在Linux上使用PGP签名验证文件完整性
图 10

后记:其实我一直觉得Linux操作系统很难使用,一方面在Windows上常使用的软件很少有支持Linux的,另一方面使用Linux时总会遇到各种障碍。当我学会在Linux上使用PGP证书校验文件完整性之前,我对Linux优势的了解仅仅是占用内存小且开源免费,自从实际操作了PGP证书校验文件我才真正开始感觉到了Linux在处理一些专业任务上的便捷性。

Ubuntu软件中心的完全启用

作者:荒原之梦

前言:新安装的Ubuntu英文版如果不做配置是无法使用Ubuntu软件中心下载或安装软件的,本文就简单介绍一下安装完Ubuntu后该做哪些配置才能完全启用Ubuntu软件中心。

安装完Ubuntu后我们要对整个系统做一次更新,补充必要的依赖关系。如果不做更新,直接从网上下载安装包安装时,就会出现问题。比如我们下载一个deb安装包,双击运行会打开Ubuntu软件中心,但是当我们点击“安装”按钮后,安装进度条会停着一直不动,如果在终端使用命令进行安装就会显示缺少该软件的依赖关系(但并不是在没有更新系统前安装所有软件都会出现缺少依赖关系的错误,一般功能比较少的软件不会报错,功能比较多,和系统联系更加紧密的软件更容易出现依赖关系错误)。其实更新系统只需要两条命令,分别执行如下两条命令即可:

sudo apt update
sudo update-manager -c -d

执行这两条命令需要一段时间,期间最好不要使用浏览器等其他软件,否则在更新到该软件时系统会发出提示,请求关闭该软件才能完成对该软件的更新。命令执行完毕后需要重启系统,之后就可以使用Ubuntu软件中心下载或安装软件了,而且安装时也可以全程使用图形化界面。

需要注意的是上述两条命令都需要在root权限下执行,也就是要在开头加上“sudo”,回车执行第一条命令后会要求输入root密码(Ubuntu的root密码默认是和开机密码一致的),执行第二条命令时一般不需要再次输入root密码。

电子邮件加密技术初探

作者:荒原之梦

前言:邮件加密一直是人们十分关心的问题。在我们还只能使用信纸进行通讯的时代,人们就发明了信封和火漆来防止信件被偷窥。在互联网时代,我们的信息安全面临着越来越多的挑战,除了需要国家出台相应的法律(我国已于2016年06月01日起正式实施中华人民共和国网络安全法)来保护我们个人的信息安全之外,还需要从我们自身做起才能有效的保护个人信息,防止被非法获取。当然,邮件加密绝不仅仅是设置更加复杂的密码,邮件传输信道的加密和邮件内容的加密以及我们自身对各种秘钥的管理——各个环节都需要我们的关注。这几天我主要了解了电子邮件加密的相关技术,下面列举如下,择日分类详述。

一、邮件加密技术基础

1.HTTPS协议

HTTPS=HTTP+SSL/TLS。这里需要明白的是HTTP,SSL,TLS的具体含义以及在实际使用过程中如何将信息进行加密解密。简单的讲,HTTPS协议就是将在网络中传输的数据进行加密,使得在服务器端和客户端之间传输的数据不再是明文数据。

注:这里补充一点:我们必须分清楚“邮件通信加密”和“邮件内容加密”。上述中提到的SSL指的是建立一条加密链路以加密邮件通讯,其实这个链路中传输的邮件内容是没有被SSL加密的。而下面将要提到的PGP加密指的是邮件内容的加密。

2.RSA公钥加密。

RSA公钥加密算法基于一个简单的事实,就是将两个大质数相乘很容易,但是想要在不知情的情况下根据结果找出是由哪两个数相乘得到的该结果却不容易,至少在当今一段时间和过去想要暴力破解使用了长秘钥的RSA加密信息是相当困难的。

3.数字签名。

数字签名的应用主要是为了证明信息的真实性,例如被加密的信息其实也可能被修改。正如我们在网上下载软件或者其他文件后通常会测试一下哈希值一样,目的之一就是为了排除我们收到的是一个被修改过的文件的可能性。

4.PGP邮件加密。

GnuPG是应用了PGP协议的开源加密软件,GnuPG的官网为https://gnupg.org/。GnuPG是GNU将OpenPGP(即PGP)中的专利算法去除后实现的开源软件。GnuPG整合了RSA公钥加密和数字签名技术,可以运行在Windows或Linux系统中,可以用来加密文件或者邮件。其实很多邮箱客户端都集成了GnuPG,例如在linux中可以在Evolution和Mozilla Thunderbird这两个邮箱客户端中使用GnuPG,在Windows(或Linux)中可以使用Kmail(Kmail是kontact的邮箱组件,网址https://userbase.kde.org/Kontact/zh-cn

电子邮件加密技术初探
图 1

在Windows中还可以使用Gpg4win(官网https://www.gpg4win.org/)来发送基于PGP加密的邮件。

电子邮件加密技术初探
图 2

另外Outlook邮箱客户端也有GnuPG的组件。

二、邮件加密的实现

想要在网络上进行加密通讯其实需要一个系统的工作,不仅需要多种信息加密工具的配合使用确保信息不被泄露以及不被篡改,还有有关人员身份的隐匿,而且在很大程度上还需要对“人”本身进行有效的管理,特别是在公司等组织内部,由于所需保密的信息可能涉及多人,此时对人的管理就显得尤为重要。

下面我就从技术的角度列举一下使用加密电子邮件的一些方法,下面的有些方法可以组合使用以提高保密强度:

1.使用电子邮件服务商提供的加密电子邮件服务

1.1 ProtonMail

ProtonMail官网:https://protonmail.com/

根据ProtonMail官网上的介绍,ProtonMail使用了End-to-End端到端加密技术,而且ProtonMail开放了自己的源代码。并且,注册ProtonMail是不需要提供手机号的,其总部和邮件服务器都位于瑞士。

电子邮件加密技术初探
图 3

1.2 Lavabit

Lavabit官网:https://lavabit.com/

Lavabit曾因棱镜门事件被关闭,不过在2017年Lavabit重新上线。

电子邮件加密技术初探
图 4

2.使用电子邮封加密电子邮件

电子邮封(百度百科:电子邮封)是一种比较方便使用的电子邮件加密软件。直观的讲,电子邮封就是给电子邮件加上了一个信封。MailCloak是一款电子邮封软件,可以实现对邮件内容的加密,有客户端版,火狐版等。MailCloak由GWEBS公司提供,此外GWEBS还提供有其他保障数据安全的软件。GWEBS官网:http://www.gwebs.com/

电子邮件加密技术初探
图 5

3.使用PGP加密邮件

前面已经提到多种实现了GnuPG加密的邮件客户端,使用GnuPG是一种较为可靠的邮件加密方法(从没有绝对的信息安全可言),但是这些软件的使用(如果你想发挥它们的最大功能的话)比较复杂,我将在另一篇文章里详细介绍安装和配置Gpg4win并使用Gpg4win发送加密文件,之后在另一台电脑上解密加密邮件的过程。

以上三种邮件加密方法需要收发信件的双方都使用相应的加密措施,否则有可能造成无法解密信息或者信息的泄露。

警示:所有信息加密技术都应该用于维护自身的合法利益,避免个人信息被别人非法获取后对我们自身造成伤害。所以,千万不要尝试使用信息加密技术做危害他人和社会的事情,我们必须在法律允许的范围内行事,不然再强大的加密技术也不可能让你做到永远高枕无忧。

2017/06/28探索日志

作者:荒原之梦

前言:今天主要还是在想办法解决我搭建的网站打不开PHP的问题,我一直想尽快解决这个问题,但是在今天下午的时候我决定先不着急解决这个问题,先着手了解与之相关的数据库和服务器配置,采取迂回战术,等我弄懂了相关技术再去解决我的网站的问题应该会比盲目的按照网上的解决办法尝试会有更深刻的理解。下面我就来总结一下今天到现在为止我的探索进展。

1.服务器

昨天老师还批评我们说都不喜欢用Linux系统,就算用也是用图形化界面。其实图形化界面确实很好看,在某些时候操作也是很方便的,我觉得如果是桌面版的操作系统,无论Windows还是linux,用图形化界面还是比较方便于日常使用的,因为桌面版主要是服务于个人办公和娱乐的,那些办公软件和媒体播放软件也只有在图形化界面里可以用吧——我不知道使用Shell的时候(不是Shell模拟器)能不能播放视频~~

但是吧,在使用服http://zhaokaifeng.com/wordpress/wp-admin/post-new.php务器操作系统时还是乖乖的用命令行吧,首先服务器,例如通常的web服务器,都是用来托管文件的,GUI界面就显得比较多余了,还会拖慢系统的运行速度,占用系统资源,所以还不如用命令行。此外,同样一个名字的发行版Linux,在系统内核上虽然是一样的,但是在具体的软件配置上还是有区别的,比如在Linux服务器系统上,Apache、MySQL、php这些都是标配。当然,桌面版操作系统也可以安装这些。

在众多Linux系统里Ubuntu应该是一个比较适合用作日常办公娱乐使用的操作系统了,同时也是一个中国本土化比较全面的操作系统,支持很多中文软件。在Ubuntu的中文官网优麒麟上有两大版本的ubuntu操作系统,分别是发行版(由商业公司开发和维护)和社区版(由Linux志愿者开发和维护)。

2017/06/28探索日志
图 1

而且在发行版和社区版的下面还有更细致的分类——分为了桌面版和服务器版。

2017/06/28探索日志
图 2

我在云服务器里选择的是CentOS作为操作系统,因为CentOS比较适合用在服务器上,但是我对CentOS还不是很熟悉,也没听说过CentOS有服务器版的。找过资料才知道,CentOS在安装时可以选择安装桌面版还是服务器版。其实用过Ubuntu就知道CentOS确实是一个更适合用在服务器上的操作系统,相比于Ubuntu里有软件中心等方便日常使用的软件,CentOS就显得很“冷清”了。

下图是CentOS的GUI桌面:

2017/06/28探索日志
图 3

下图是Ubuntu的GUI桌面:

2017/06/28探索日志
图 4

2.下一步计划

下一步我准备在Windows和CentOS上建一个用本地电脑作为服务器的网站,主要目的是为了熟悉建站的整个流程,然后再去云服务器上建网站。而且学会在本地建站也能为我今后做安全相关试验时搭建实验环境打下一个基础。

Java基础小知识1——分别使用字节流和字符流复制文件

作者:荒原之梦

前言:在日常使用计算机过程中经常会涉及文件的复制,今天我们就从Java代码的角度,看看在Java程序中文件复制的过程是如何实现的。

1.使用字节流缓冲区复制文件

示例代码如下:

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStream;

public class Test2 {
public static void main(String[] args) throws Exception{
  InputStream in = new FileInputStream("bbb\\aaa.txt");
  FileOutputStream out =new FileOutputStream("ccc\\aaa.txt");
  int len;
  while ((len=in.read())!=-1){
    out.write(len);
  }
  in.close();
  out.close();
}
}

运行完代码,刷新目录后,ccc文件夹下就会出现从bbb文件夹里复制过来的文件aaa.txt

Java基础小知识1——分别使用字节流和字符流复制文件
图 1

2.使用字符流复制文件

示例代码如下:

import java.io.FileNotFoundException;
import java.io.FileReader;
import java.io.FileWriter;
import java.io.IOError;

public class Test3 {
  public static void main(String[] args) throws Exception{
    FileReader rea = new FileReader("bbb\\aaaaaa.txt");
    FileWriter wri = new FileWriter("ccc\\aaaaaa.txt");
    int a;
    while((a=rea.read())!=-1){
      wri.write(a);
    }
    rea.close();
    wri.close();
  }
}

运行完代码,刷新目录后,ccc文件夹下就会出现从bbb文件夹里复制过来的文件aaaaaa.txt

Java基础小知识1——分别使用字节流和字符流复制文件
图 2

在单用户模式下修改CentOS的root密码

作者:荒原之梦

前言:我们在使用CentOS的过程中可能会发生忘记root用户密码的情况,本文就从应用的角度简单介绍一下如何在单用户模式下修改root用户的密码。

  • 开启CentOS,进入系统启动菜单

将光标停留在系统开机时默认的启动项(如下图绿色区域所示),然后根据蓝色区域的提示内容“按下e键编辑已经选中的项目”的提示按下e键,进行下一步操作。

在单用户模式下修改CentOS的root密码
图 1
  • 修改操作的前期准备

按下e键后我们可能无法看到我们需要编辑的区域,这是因为在较新版本的CentOS中这个编辑页面不是一次显示完的,我们可以看到两个箭头分别指向上和下,使用上下方向键向下翻就会找到我们需要编辑的位置了。

在单用户模式下修改CentOS的root密码
图 2

翻到下面后就是这个页面,我们要编辑的内容就是蓝色区域所示的两个位置。我们要把其中的” ro”替换成” rw init=/bin/sh”,并把rhgb quiet删除。

在单用户模式下修改CentOS的root密码
图 3

修改后的页面如下:

在单用户模式下修改CentOS的root密码
图 4

其中rw后面的\是修改时系统自动加上去的,表示换行的意思。

  • 开始修改密码的相关操作

按上述步骤修改完成后,按Ctrl+X组合键启动系统。输入passwd并两次输入新的root密码,之后输入“touch /.autorelabel”(用于selinux重启后更新label)和“exec /sbin/init”(正常启动init进程,重启),然后回车。

在单用户模式下修改CentOS的root密码
图 5

等待系统完成更新后就可以使用修改后的密码进入系统:

在单用户模式下修改CentOS的root密码
图 6